2隐信道检测技术
对于隐信道的检测,其主要思想是:比较待检测数据流与正常数据流之间的差异,如果差异很大,则判断是隐信道,如果差异很小,则判断为正常数据流。网络隐信道构建方法是多种多样的,而网络环境也是瞬息万变的,因此对于隐信道的检测难度较高,导致了隐信道检测技术还不够成熟的现状。很多隐信道检测方法都是针对某一种或几种类似的隐信道,因而不存在通用性。虽然也存在一些检测方法,能够实现对多种隐信道的检测,但是这些检测方法对特定的网络环境具有很强的依赖性,局限性较大[39]。
Murdoch等人提出了一种基于TCP初始序列号位统计特性的隐信道检测方法,这种检测方法只针对基于TCP初始序列号位的隐信道,不具有普及型[40]。Sohn等人提出了基于SVM分类器的检测方法,目的是用于检测基于TCP初始序列号位的隐信道以及基于IP标识位的隐信道[41]。实验表明,这种检测方法只对于基于IP标识位的隐信道有较好的检测结果,而且适用性也不高。针对基于ICMP协议负载的存储式隐信道,Sohn等人提出了一种使用SVM的检测方法。刘光杰等人提出了一种基于IPID位正常通信自增特性统计规律的检测算法,用以检测基于IPID位的隐信道[42]。由此可见,很难设计出一种检测算法,实现对多种隐信道的检测。
以上的隐信道检测方法大多是一对一的,只针对一种隐信道有效,无法应用于其他隐信道,限制了适用范围。但是也有一些检测算法,具有较好的适用性[43]。对于时间式隐信道的检测,Cabuk等人提出了两种检测方法:基于包间延时方差的检测算法,以及相邻包间延时的相似度算法[44]。这两种方法都是通过对包间时延进行统计,计算出某种特征值,比较隐信道与正常数据流的差异或者相似度,从而判断是否为时间式隐信道。Shah等人针对Jitterbug隐信道,提出了一种利用包间延时的统计规律的检测算法,这种方法也可以应用于其他的时间式隐信道检测[27]。Qian等人提出了一种基于密度聚类的时间式隐信道检测方法,这种方法对密度聚类特征的选取和聚类的数目较为依赖,因此在实际应用中有一定的局限性[45]。Givanvecchio等人将信息论中的的熵与带修正条件熵引入了检测算法,利用包间时延信息的熵来检测时间式隐信道[46]。基于信息熵方法是一种比较成熟的检测算法,能够有效的检测出大多数的时间式隐信道。
网络隐信道的研究现状(3):http://www.youerw.com/yanjiu/lunwen_203961.html